Opsætning Af RRAS Server – SSL VPN

Med Windows 2008 RRAS får man mulighed for at benytte en ny type VPN forbindelse, som kaldes SSTP (Secure Socket Tunneling Protocol).
Den lytter på port 443 og brugerne kan udefra, etablere en SSTP VPN forbindelse på tværs af firewalls og NAT devices.
Krav til klienter er Vista SP1, Windows 2008 eller Windows 7. For mere info se nedenstående link.
http://technet.microsoft.com/en-us/magazine/2007.06.cableguy.aspx

Konfiguration af RRAS VPN server, sker som følger:
Installer en ny Windows 2008 server x64 + SP2 + fuld windows update + 2 netkort + disable IPv6.
Omdøb de 2 netkort som henholdsvis LAN og DMZ og angiv faste IP addresser.

LAN (Internt LAN):
IP = 192.168.35.30
Subnet = 255.255.255.0
Gateway = blank
DNS = interne DNS adresser

DMZ (Peger ud i DMZ)
IP = 192.168.36.30
Subnet = 255.255.255.0
Gateway = 192.168.36.1
DNS = Blank

Join serveren til det interne domæne. Hvis man har en enterprise CA server internt på LAN’et, får den nye RRAS server dynamisk et computer certifikat.
Dette vil default konflikte med RRAS SSTP setup. Det er her vigtigt først at eksportere dette og slette det inde fra “Certificates (local computer) – Personal”.
Vi er nu klar til at lave vores eget FQDN SSL certificate, som bliver det navn, som brugerne udefra connecter op mod udefra, feks. “vpn.jravn.dk”.
Jeg udsteder mit eget SSL certifikat fra en Windows 2008 CA og impoterdere det som et pfx certificate i serverens “Certificates (local computer) – Personal” cert store.
Det kræver at brugerne har det interne Root Certificate ude på maskinerne.

Næste step er så installere RRAS. Vælg Server Manager – Roles – Add Roles og tjek, som vist på nedenstående billeder.



Vi er nu klar til at konfigurere RRAS med henblik på SSTP.
start “Routing and Remote Access Console – Højre musetast og vælg Configure Routing and Remote Access – Next.

Vælg Remote access (Dial-up or VPN) – Next.

Vælg VPN – Next.

Vælg Public LAN Interface (DMZ) – Next.
Det er vigtigt, at sætte hak i “enable static packet filter” for optimeret sikkerhed, idet serveren kun vil svare på trusted VPN traffik.

Jeg vælger her at SSTP klienterne automatisk for tildelt en DHCP adresse – Next.

Jeg vælger “Local Windows Authentication” – Next – Finish.

Vælg til sidst OK til DHCP relay.

Vi er nu færdige med RRAS installation og konfiguration.
Jeg tjekker herefter at der åben i firewallen på port 443 fra WAN til DMZ (kun til RRAS serveren).
Med kommandoen “netstat –aon | findstr 443”, sikre jeg mig, at SSTP servicen lytter på port 443.
Den viser det her både for IPv4 og IPv6.

Jeg tjekker også at SSTP servicen er koblet til det rigtige certifikat. Det gøres med nedenstående kommando.

Hvis man benytter et certifikat fra en intern Enterprise CA, som jeg har gjort i dette test-setup, vil man få nedenstående fejl, når man laver sin SSTP connection.

Kort fortalt betyder det, at klienten tjekker CRL (certificate revocation list) om certifikatet er udløbet. Dette sker inden VPN forbindelsen er etableret.
Dette kan undgås ved at købe et public SSL certifikat fra feks. Godaddy eller ved at disable CRL tjek ude på klienterne via nedenstående reg-nøgle.

Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesSstpSvcParameters]
“NoCertRevocationCheck”=dword:00000001

Jeg får herefter lov at connecte via SSTP.

Referencer til denne blog-post.

SSTP Remote Access Step-by-Step Guide:
http://technet.microsoft.com/en-us/library/cc731352(WS.10).aspx

How to troubleshoot Secure Socket Tunneling Protocol (SSTP)-based connection failures in Windows Server 2008:
http://support.microsoft.com/kb/947031

Registry entries that Routing and Remote Access adds in Windows Server 2008:
http://support.microsoft.com/kb/947054

Client fails to connect to SSTP VPN server giving error message 0x80092013:
http://support.microsoft.com/kb/961880/EN-US

Comments are closed.